以下是最新版本Comware V7系统下的典型配置流程：

第一部分：在H3C F10000防火墙上进行配置

核心思路是：​​启用信息中心 -> 配置日志主机 -> 在NAT策略上启用日志记录​​。

步骤 1: 开启信息中心（必选）

信息中心是设备发送所有日志的总开关。默认可能是开启的，但建议确认一下。

步骤 2: 配置日志主机（日志审计服务器）

这里需要指定日志审计系统的IP地址、使用的协议（通常为UDP）、端口号（默认514）和日志输出的格式。

• •

  loghost: 指定日志主机模式。

• •

  transport udp port 514: 使用UDP协议，端口514是syslog标准端口。

• •

  source nat: 指定NAT模块作为日志源。

• •

  level informational: 设置日志级别为“信息”级别，这会记录所有NAT会话建立和删除的信息。

• •

  format unicom: 使用一种标准的、易于解析的日志格式。

步骤 3: 在NAT策略上启用日志功能

这是最关键的一步，需要在您现有的NAT策略（如nat outbound或nat server）上加上logging参数。

• •

  ​​对于出向动态NAT（例如，内网用户上网）：​​

  # 进入接口视图或策略视图 interface GigabitEthernet1/0/1 # 在原有的nat outbound命令后追加logging nat outbound 3000 address-group 1 logging # 或者如果之前没有logging，可能需要先undo掉原命令再重新绑定 # undo nat outbound 3000 # nat outbound 3000 address-group 1 logging
• •

  ​​对于静态NAT（例如，发布内网服务器）：​​

  # 进入接口视图 interface GigabitEthernet1/0/0 # 在原有的nat server命令后追加logging nat server protocol tcp global 202.96.1.100 80 inside 192.168.1.10 80 logging

​​关键点：​​ logging关键字是让防火墙记录NAT会话生命周期（新建和删除）日志的直接指令。

步骤 4: （可选）调整信息中心参数

如果网络日志量很大，可以调整日志队列缓冲区和输出速率，防止丢包。

第二部分：在H3C日志审计系统上进行检查

防火墙配置完成后，产生NAT流量时，日志就会发出。您需要在日志审计系统上确保能正确接收和解析。

步骤 1: 确认设备管理

1. 1.

   登录日志审计系统的Web管理界面。

2. 2.

   进入 ​​“设备管理”​​ 或 ​​“日志源管理”​​ 菜单。

3. 3.

   确认已添加了您的F10000防火墙作为日志源设备。填写其IP地址，并选择协议为UDP，端口为514（与防火墙配置一致）。

步骤 2: 查看实时日志

1. 1.

   进入 ​​“日志审计”​​ -> ​​“实时日志”​​ 或 ​​“原始日志”​​ 查看界面。

2. 2.

   在过滤条件中，选择或填写 ​​“日志源IP”​​ 为您的F10000防火墙的地址。

3. 3.

   在搜索框里，您可以输入关键词来快速定位NAT日志，例如：

   • •

     NAT/SESSION/CREATE： 搜索NAT会话创建的日志。

   • •

     NAT/SESSION/DELETE： 搜索NAT会话删除的日志。

   • •

     具体的私网IP地址（如 192.168.1.50）或公网IP地址。

步骤 3: 解读日志内容

一条典型的NAT创建日志在“unicom”格式下可能看起来像这样（字段顺序可能因版本略有不同）：

​​关键信息解析：​​

• •

  [NAT][SESSION][CREATE]: 表示这是一条NAT会话创建日志。

• •

  From inside: 表示流量从inside区域而来。

• •

  SrcIP: 192.168.1.50(55000): 转换前的内网源IP和端口。

• •

  DstIP: 202.96.1.1(80): 目的公网IP和端口。

• •

  SrcIPAfterNAT: 202.96.1.200(1024): NAT转换后使用的公网IP和端口。

排错与总结

1. 1.

   ​​防火墙无日志发出​​：

   • •

     检查 info-center enable是否已配置。

   • •

     检查 info-center loghost配置的IP和端口是否正确。

   • •

     检查防火墙与日志审计系统之间的网络连通性（用ping和telnet 日志主机IP 514测试）。

   • •

     检查防火墙的源接口路由是否可达。

2. 2.

   ​​审计系统收不到日志​​：

   • •

     检查审计系统上的日志源设备地址是否正确添加。

   • •

     检查审计系统是否监听了UDP 514端口。

3. 3.

   ​​看不到NAT日志​​：

   • •

     确认在NAT策略上正确配置了 logging。

   • •

     在防火墙上使用 display logbuffer命令查看本地缓冲区的日志，先确认防火墙本身是否生成了NAT日志。如果这里都没有，说明NAT策略或日志配置有问题。

按照以上步骤操作，您应该能在H3C日志审计系统上成功看到来自F10000防火墙的详细NAT会话日志记录。

参考：

使用版本

本举例是在F1090的R8660P33版本上进行配置和验证的。

组网需求

如下图所示，通过在设备Device上配置Flow日志主机组功能，实现仅在日志主机Log Host1上对用户User的上网活动进行监控。

图-1 Flow日志主机组配置组网图

‌

配置步骤

1. 配置接口IP地址

# 根据组网图中规划的信息，配置各接口的IP地址，具体配置步骤如下。

<Device> system-view

[Device] interface loopback 0

[Device-LoopBack0] ip address 3.3.3.3 255.255.255.0

[Device-LoopBack0] quit

[Device] interface gigabitethernet 1/0/1

[Device-GigabitEthernet1/0/1] ip address 169.1.1.1 255.255.255.0

[Device-GigabitEthernet1/0/1] quit

请参考以上步骤配置其他接口的IP地址，具体配置步骤略。

2. 配置静态路由

本举例仅以静态路由方式配置路由信息。实际组网中，请根据具体情况选择相应的路由配置方式。

# 请根据组网图中规划的信息，配置静态路由，本举例假设到Internet的下一跳IP地址为4.4.4.1，实际使用中请以具体组网情况为准，具体配置步骤如下。

[Device] ip route-static 0.0.0.0 0 4.4.4.1

3. 配置接口加入安全域。

# 请根据组网图中规划的信息，将接口加入对应的安全域，具体配置步骤如下。

[Device] security-zone name trust

[Device-security-zone-Trust] import interface gigabitethernet 1/0/1

[Device-security-zone-Trust] quit

[Device] security-zone name dmz

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/2

[Device-security-zone-DMZ] import interface gigabitethernet 1/0/3

[Device-security-zone-DMZ] quit

[Device] security-zone name untrust

[Device-security-zone-Untrust] import interface gigabitethernet 1/0/4

[Device-security-zone-Untrust] quit

4. 配置安全策略

# 配置名称为loglocalout的安全策略规则，使Device可以向日志主机发送日志信息报文，具体配置步骤如下。

[Device] security-policy ip

[Device-security-policy-ip] rule name loglocalout

[Device-security-policy-ip-1-loglocalout] source-zone local

[Device-security-policy-ip-1-loglocalout] destination-zone dmz

[Device-security-policy-ip-1-loglocalout] source-ip-host 3.3.3.3

[Device-security-policy-ip-1-loglocalout] destination-ip-host 1.1.1.2

[Device-security-policy-ip-1-loglocalout] destination-ip-host 2.2.2.2

[Device-security-policy-ip-1-loglocalout] action pass

[Device-security-policy-ip-1-loglocalout] quit

# 配置名称为trust-untrust的安全策略规则，使用户User可以正常访问Internet，具体配置步骤如下。

[Device-security-policy-ip] rule name trust-untrust

[Device-security-policy-ip-3-trust-untrust] source-zone trust

[Device-security-policy-ip-3-trust-untrust] destination-zone untrust

[Device-security-policy-ip-3-trust-untrust] source-ip-subnet 169.1.1.0 24

[Device-security-policy-ip-3-trust-untrust] action pass

[Device-security-policy-ip-3-trust-untrust] quit

[Device-security-policy-ip] quit

5. 配置Flow日志

# 开启NAT新建、删除会话和活跃流的日志功能，具体配置步骤如下。

[Device] nat log enable

[Device] nat log flow-begin

[Device] nat log flow-end

[Device] nat log flow-active 10

# 配置Flow日志输出到日志主机，将3.3.3.3配置为承载Flow日志的UDP报文的源IP地址，具体配置步骤如下。

[Device] userlog flow export host 1.1.1.2 port 2000

[Device] userlog flow export host 2.2.2.2 port 2000

[Device] userlog flow export source-ip 3.3.3.3

# 配置用于匹配日志信息的ACL，匹配源IP为169.1.1.2的报文，具体配置步骤如下。

[Device] acl basic 2000

[Device-acl-ipv4-basic-2000] rule permit source 169.1.1.2 0.0.0.0

[Device-acl-ipv4-basic-2000] quit

# 创建IPv4 Flow日志主机组并添加日志主机，具体配置步骤如下。

[Device] userlog host-group test acl number 2000

[Device-userlog-host-group-test] userlog host-group host flow 1.1.1.2

[Device-userlog-host-group-test] quit

验证配置结果

# 查看Flow日志主机组的配置信息。

[Device] display userlog host-group test

Userlog host-group test:

  ACL number: 2000

  Flow log host numbers: 1

    Log host 1:

      Host/port: 1.1.1.2/2000

# 用户User上网之后，查看Flow日志的统计信息。

[Device] display userlog export

Flow:

  Export flow log as UDP Packet.

  Version: 1.0

  Source ipv4 address: 3.3.3.3

  Log load balance function: Disabled

  Local time stamp: Disabled

  Number of log hosts: 2

  Log host 1:

    Host/Port: 1.1.1.2/2000

    Total logs/UDP packets exported: 13/13

  Log host 2:

    Host/Port: 2.2.2.2/2000

Total logs/UDP packets exported: 0/0